Le estensioni browser dannose che si fingono strumenti di intelligenza artificiale sono diventate un problema serio, e i numeri parlano chiaro. Gli specialisti di Microsoft Defender hanno scoperto diversi componenti aggiuntivi malevoli distribuiti attraverso il Chrome Web Store ufficiale, progettati per rubare conversazioni con i chatbot e cronologia di navigazione. Secondo le stime di Microsoft, queste estensioni browser dannose sono state installate circa 900.000 volte, con attività rilevata in oltre 20.000 organizzazioni aziendali dove i dipendenti utilizzano regolarmente chatbot per lavoro.
Come funzionavano le estensioni browser dannose
Il meccanismo era tanto semplice quanto efficace. Gli aggressori hanno studiato le estensioni più popolari per interagire con le reti neurali, come AITOPIA, e ne hanno copiato aspetto, descrizioni e richieste di autorizzazione. Il risultato? Componenti aggiuntivi che sembravano normalissimi assistenti per la comunicazione con l’intelligenza artificiale, perfettamente integrati nei browser Google Chrome e Microsoft Edge.
Una volta installata, l’estensione iniziava a monitorare l’attività in background. Il programma registrava gli indirizzi completi dei siti visitati e i frammenti di messaggi scambiati durante le interazioni con chatbot come ChatGPT e DeepSeek. Frammenti di codice, istruzioni interne, discussioni di lavoro: tutto finiva nelle mani degli aggressori.
Il trasferimento dei dati avveniva tramite normali richieste HTTPS, il che rendeva il traffico praticamente indistinguibile dalla comune attività web. I dati venivano salvati in formato JSON, codificati in Base64, e includevano URL completi (anche quelli di risorse aziendali interne), frammenti di conversazioni, nomi dei modelli utilizzati e un identificativo univoco dell’utente. Dopo l’invio ai server remoti, le informazioni venivano cancellate dall’archiviazione locale, complicando enormemente qualsiasi analisi successiva.
Il trucco delle autorizzazioni e la riattivazione automatica
C’è un dettaglio particolarmente subdolo. Le estensioni browser dannose sfruttavano il modello di autorizzazioni standard del browser: una volta installate, ottenevano accesso ai contenuti delle pagine senza dover chiedere permessi aggiuntivi. Esisteva un’opzione per disabilitare la raccolta dati, ma ecco il punto: dopo ogni aggiornamento dell’estensione, la telemetria veniva automaticamente riattivata. Un meccanismo che di fatto vanificava qualsiasi tentativo dell’utente di proteggersi.
L’estensione si caricava ogni volta che il browser veniva avviato. Nessuna tecnica sofisticata di infiltrazione, nessun exploit complesso. Semplicemente restava lì, silenziosa, raccogliendo tutto. Gli utenti continuavano a usare i propri strumenti quotidiani senza sospettare che le loro conversazioni e la cronologia di navigazione venissero regolarmente trasferite a server controllati da terzi.
Cosa consiglia Microsoft alle aziende
Microsoft raccomanda alle organizzazioni di verificare con attenzione le estensioni installate sui browser dei dipendenti e di monitorare le connessioni di rete verso domini sospetti. Suggerisce inoltre di limitare l’installazione di componenti aggiuntivi non autorizzati e di prestare particolare attenzione a quegli strumenti che promettono di migliorare l’esperienza con l’intelligenza artificiale. Anche un’estensione scaricata dallo store ufficiale può trasformarsi in un canale permanente di fuga di dati aziendali.
